KrakenCryptor2.0.7勒索变种的示例分析

发布时间:2021-12-24 14:41:41 作者:柒染
来源:亿速云 阅读:175

本篇文章为大家展示了KrakenCryptor2.0.7勒索变种的示例分析,内容简明扼要并且容易理解,绝对能使你眼前一亮,通过这篇文章的详细介绍希望你能有所收获。

前言

深信服安全团队在分析安全云脑全网威胁数据时,发现了一个在国内出现的新勒索家族KrakenCryptor,发现版本为KrakenCryptor2.0.7。该版本为目前发现的最新版本,但陆陆续续有客户通过安全云脑对该样本进行检测。该勒索软件最新版本使用RSA+AES加密算法,加密后缀也随机生成。

详细分析

1、样本是用.net框架编写的,并且样本经过混淆,如图所示:

KrakenCryptor2.0.7勒索变种的示例分析

2、将样本去混淆,便开始对它的研究。跟一般勒索软件类似,该版本也会给受害者设定一个缴纳赎金的时限,超过一个周以后就会涨价。

如图所示,这是给受害者的收费计时,不过并未在图形界面上展示,且这个一周涨价算的是自然周,而不是根据受害者被加密以后开始算。

KrakenCryptor2.0.7勒索变种的示例分析

缴费(勒索)倒计时

3、样本会首先解密出一些关于加密的信息,比如,家族、版本、技术支持邮箱等。

KrakenCryptor2.0.7勒索变种的示例分析

家族版本号

KrakenCryptor2.0.7勒索变种的示例分析

加密的密钥长度信息

KrakenCryptor支持加密的文件后缀,一共有422种。下图为部分文件后缀。

KrakenCryptor2.0.7勒索变种的示例分析

支持加密的文件后缀

4、样本会通过https://ipinfo.io网站来确认受害者IP的位置:

KrakenCryptor2.0.7勒索变种的示例分析

收集受害者IP的物理位置

5、收集受害者系统版本、mac地址、本地磁盘信息,并生成RSA和AES密钥:

KrakenCryptor2.0.7勒索变种的示例分析

生成加密密钥

6、获取受害者的默认输入法,对特定默认输入法进行免疫(不加密)。

KrakenCryptor2.0.7勒索变种的示例分析

获取默认输入法

KrakenCryptor2.0.7勒索变种的示例分析

免疫输入法

获取系统语言,对特定语言进行免疫。目前免疫的国家有:

亚美尼亚(AM),阿塞拜疆(AZ),白俄罗斯(BY),爱沙尼亚(EE),格鲁吉亚(GE),伊朗(IR),吉尔吉斯坦(KG),立陶宛( LT),摩尔多瓦(MD),俄罗斯(RU),塔吉克斯坦(TJ),乌克兰(UA) , 乌兹别克斯坦(UZ) , 土库曼斯坦(TM),叙利亚(SY),拉脱维亚(LV),哈萨克斯坦(KZ)。

KrakenCryptor2.0.7勒索变种的示例分析

免疫国家

7、注册表项,新增一个WordLoad的键,用来作为加密记录。如果Wordload的值为1,就退出。

KrakenCryptor2.0.7勒索变种的示例分析

注册表项

8、如果不是在免疫国家列表当中,那么接下来就要走入加密流程了。样本会向https://2no.co/2SVJa5这个URL发送自己的IP物理地址。由于这个URL是个短连接,还原以后是https://www.bleepingcomputer.com/,bleepingcomputer是一个提供安全技术和信息的网站。

KrakenCryptor2.0.7勒索变种的示例分析

9、生成256位AES密钥,并使用CBC模式加密文件。

KrakenCryptor2.0.7勒索变种的示例分析

10、加密后的文件会直接将原文件覆盖,然后再重命名。

KrakenCryptor2.0.7勒索变种的示例分析

加密原文件后覆盖写入

KrakenCryptor2.0.7勒索变种的示例分析

重命名加密后的文件

11、加密完以后样本还会自删除:

KrakenCryptor2.0.7勒索变种的示例分析

12、最后更换桌面背景给受害者进行提示:

KrakenCryptor2.0.7勒索变种的示例分析

解决方案

针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。

深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀:http://edr.sangfor.com.cn/tool/SfabAntiBot.zip。

上述内容就是KrakenCryptor2.0.7勒索变种的示例分析,你们学到知识或技能了吗?如果还想学到更多技能或者丰富自己的知识储备,欢迎关注亿速云行业资讯频道。

推荐阅读:
  1. 亲历WannaCry变种病毒
  2. 后缀.COLORIT勒索病毒分析和解决方案,.COLORIT勒索病毒如何处理

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

krakencryptor2.0.7

上一篇:如何进行FCKeditor2.6.4.1的编辑器漏洞利用

下一篇:linux中如何删除用户组

相关阅读

您好,登录后才能下订单哦!

密码登录
登录注册
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》